Os desenvolvedores da Microsoft identificaram uma vulnerabilidade grave em aplicativos populares para a plataforma móvel Android. Esta vulnerabilidade permite que invasores executem remotamente códigos maliciosos e roubem dados de usuários e tokens de autenticação.

Fonte da imagem: Denny Müller/Unsplash

Segundo o relatório da Microsoft, a vulnerabilidade afeta pelo menos quatro aplicativos da loja Google Play com milhões de downloads. Entre eles estão o popular gerenciador de arquivos da empresa chinesa Xiaomi e o pacote de escritório WPS Office. Cada um desses aplicativos recebeu mais de 500 milhões de instalações.

Qual é a vulnerabilidade? O fato é que muitos programas Android usam um mecanismo especial para troca segura de arquivos com outros aplicativos. Porém, ao receber um arquivo de um aplicativo de terceiros, eles não verificam seu conteúdo e usam o nome do arquivo especificado pelo remetente para salvá-lo no armazenamento interno. É disso que os invasores se aproveitam ao criar aplicativos maliciosos que enviam arquivos com nomes perigosos para programas-alvo. Por exemplo, um aplicativo malicioso pode enviar um arquivo com o nome das configurações de um cliente de e-mail, navegador ou mensageiro instantâneo. Ao receber esse arquivo, o aplicativo alvo irá salvá-lo em sua pasta e começar a usá-lo para trabalhar, o que levará ao comprometimento da solução de software e ao vazamento de dados confidenciais.

Segundo especialistas da Microsoft, as consequências potenciais podem ser bastante graves. Por exemplo, os invasores podem redirecionar o tráfego de aplicativos para seus servidores, obtendo acesso a tokens de autenticação de usuários, mensagens privadas e outras informações valiosas.

A Microsoft informou o Google sobre o problema descoberto. Por sua vez, o Google divulgou diretrizes para que os desenvolvedores identifiquem e corrijam essa vulnerabilidade em aplicativos Android. Além disso, a Microsoft entrou em contato diretamente com os fornecedores do software afetado na Google Play Store. Em particular, a Xiaomi e o WPS Office já lançaram atualizações que colmatam a falha de segurança.

No entanto, a Microsoft acredita que muitos outros aplicativos Android podem estar vulneráveis ​​da mesma forma. A empresa incentiva todos os desenvolvedores a testar exaustivamente seus produtos. Para usuários comuns, é recomendado atualizar regularmente os aplicativos para as versões mais recentes e instalar apenas programas comprovados da loja oficial do Google Play.

avalanche

Postagens recentes

A China testou o motor de foguete com apogeu mais durável do mundo, que é duas vezes mais potente que os equivalentes ocidentais.

A China testou no espaço um novo motor a combustível líquido para lançamento de satélites…

2 horas atrás

A Sotheby’s leiloará uma jaqueta de couro autografada pelo fundador da Nvidia, Jensen Huang, para fins beneficentes.

O fundador e CEO de longa data da Nvidia, Jensen Huang, ganhou fama muito além…

3 horas atrás

A Meta utiliza DDR4 em sistemas de servidor que não a suportam nativamente.

O boom da IA ​​previsivelmente direcionou a demanda para a memória DDR5, mais cara e…

4 horas atrás